Plateforme
go
Composant
minio
Corrigé dans
2023.0.1
Une vulnérabilité de contournement d'authentification a été découverte dans MinIO, affectant la gestion des payloads non signés en streaming. Cette faille permet à un attaquant possédant une clé d'accès valide d'écrire des objets arbitraires dans n'importe quel bucket sans connaître la clé secrète ou fournir une signature cryptographique. Les versions de MinIO concernées sont celles supérieures ou égales à RELEASE.2023-05-18T00-05-36Z et inférieures à RELEASE.2026-04-11T03-20-12Z. Une correction a été déployée le 2026-04-11.
L'impact de cette vulnérabilité est significatif car elle permet un accès non autorisé à des données stockées dans MinIO. Un attaquant peut exploiter cette faille en utilisant une clé d'accès valide (par exemple, la clé par défaut minioadmin ou une clé disposant des permissions d'écriture sur un bucket) et le nom du bucket cible. Il n'est pas nécessaire de connaître la clé secrète ou de fournir une signature valide pour écrire des objets. Cela peut conduire à la corruption de données, à l'insertion de fichiers malveillants, ou à la compromission de l'ensemble du système de stockage. La simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante, car elle peut être exploitée par des attaquants ayant des compétences techniques limitées. Cette vulnérabilité pourrait être exploitée de manière similaire à des attaques de déni de service par saturation du stockage, ou pour exfiltrer des données sensibles si elles sont stockées dans les buckets affectés.
Cette vulnérabilité a été rendue publique le 2026-04-22. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la disponibilité d'une clé d'accès par défaut. Des preuves d'exploitation active n'ont pas été rapportées publiquement, mais la vulnérabilité est susceptible d'être exploitée en raison de sa facilité d'exploitation.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'• generic web:
curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "• linux / server:
lsof -i :9000 | grep miniodisclosure
patch
Statut de l'Exploit
EPSS
0.12% (percentile 31%)
CISA SSVC
La mitigation principale consiste à mettre à jour MinIO vers la version corrigée, RELEASE.2026-04-11T03-20-12Z ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux buckets sensibles et de surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. En attendant la mise à jour, il est possible de configurer un proxy inverse ou un WAF pour bloquer les requêtes suspectes, mais cela peut ne pas être suffisant pour empêcher l'exploitation. Il est également conseillé de révoquer les clés d'accès compromises et de renforcer les politiques d'authentification et d'autorisation. Après la mise à jour, vérifiez l'intégrité des données et assurez-vous que les journaux d'accès ne montrent aucune activité suspecte.
Mettez à jour MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou version ultérieure. Si la mise à jour n'est pas possible immédiatement, bloquez les requêtes unsigned-trailer sur l'équilibreur de charge ou WAF, ou restreignez les autorisations d'écriture aux utilisateurs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-41145 is an authentication bypass vulnerability in MinIO allowing attackers with a valid access key to write arbitrary objects to any bucket without a signature.
You are affected if you are running MinIO versions between 2023-05-18T00-05-36Z (inclusive) and 2026-04-11T03-20-12Z (exclusive).
Upgrade MinIO to version 2026-04-11T03-20-12Z or later. Review release notes and test the upgrade before deploying to production.
While no public exploits are currently known, the vulnerability's simplicity suggests exploitation is likely.
Refer to the official MinIO security advisory for CVE-2026-41145 on the MinIO website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.